Labirent Fidye Yazılımı nedir?
Bu Windows fidye yazılımı dünya çapında birçok kuruluşu hedef aldı
Labirent fidye yazılımı, küresel çapta ve birçok sektörde kuruluşları hedef aldı. Malwarebytes’te kötü amaçlı yazılım istihbarat analisti Jerome Segura, daha önce ChaCha olarak bilinen fidye yazılımını Mayıs 2019’da keşfetti.
İlk olarak 2019’un sonlarına doğru istismar kitleri ve spam kampanyaları aracılığıyla dağıtıldı . Bir Proofpoint raporuna göre Labirent, 29 Ekim 2019’da İtalya’daki kullanıcılara İtalyan Gelir Kurumu’nun kimliğine bürünen e-postalar aracılığıyla dağıtıldı.
Genellikle .exe veya .dll dosyası olarak görünen 32 bitlik bir ikili dosyadır. Oldukça karmaşıktır ve güvenlik tekniklerinden ve kötü amaçlı yazılımdan koruma araştırmacılarından kaçınmasına yardımcı olmak için birçok şaşırtma tekniği kullanır.
Hemen hemen tüm fidye yazılımlarında olduğu gibi, Maze’in amacı, kurbanın sistemindeki dosyaları şifrelemek ve ardından bu verileri kurtarmak için bir fidye talep etmektir. Bununla birlikte, Maze’in ilginç bir özelliği, fidye yazılımının arkasındaki siber suçluların, ödeme yapmazlarsa kurbanın verilerini çevrimiçi olarak ifşa etmekle tehdit etmeleridir.
Sodinokibi, Nemty, Clop ve daha fazlası gibi diğer fidye yazılımları o zamandan beri bu yaklaşımı kopyaladı. Yedeklere sahip olmak, kuruluşunuzu durma noktasına kadar korurken, bu, verilerinizin bir kopyasına sahip olan suçlulara karşı hafifletmez.
Ayrıca, fidye yazılımının arkasındaki bilgisayar korsanlarının sisteme sürekli erişime sahip olmasını sağlamak için arka kapılar oluşturur.
Bazen, Maze’den önce, kodlanmış bir yük olarak gönderilen Kobalt Strike gibi araçlar yüklenir. Bu, sömürü sonrası eylemleri gerçekleştirmek için bir işaret görevi görür.
Maze fidye yazılımı nasıl yayılır?
Labirent fidye yazılımı, kurbanın makinesine bir kimlik avı e-postası, genellikle bir hedef odaklı kimlik avı e-postası yoluyla girer. Bu e-posta, makro etkin bir Microsoft Word belgesi veya parola korumalı zip dosyası gibi kötü amaçlı bir ek ile birlikte gelir.
Mağdurlara gönderilen e-postaların konu satırında “Kaçırılan paket teslimatı” ve “AT&T kablosuz faturanız görüntülenmeye hazır” yazıyordu. Belge, “Üç Aylık Rapor” veya “Gizli Veri Kümesi” gibi masum bir başlık taşıyor. Belgelerin kötü amaçlı makroları, Fallout ve Spelevo gibi istismar kitlerini indirir.
Kurban, kimlik avı e-postasını açtığında, kurbanın sisteminde yayılmaya başlar. Aynı zamanda, ağ boyunca yanal olarak yayılır ve daha fazla sisteme bulaşmak için daha yüksek ayrıcalıklar kazanmaya çalışır. Ağdaki ve Active Directory sitelerindeki güvenlik açıklarını arar. Bu aşamalarda kullanılan araçlar arasında mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit ve diğerleri bulunur. Ayrıca, RDP veya dosya paylaşım hizmetlerini çalıştıran daha hassas veya yanlış yapılandırılmış sistemleri bulmak için dahili anket gerçekleştirir.
Bu aşamalarda, bilgisayar korsanları, güvenliği ihlal edilmiş ağdaki sunucularda ve iş istasyonlarında depolanan değerli verileri bulmaya ve çıkarmaya çalışır. Fidye ödemeleri için pazarlık yaparken bu ayıklanan dosyaları kaldıraç olarak kullanırlar.
Bu olurken, fidye yazılımı yerel makinedeki ve bulut depolamadaki dosyaları şifrelemeye başlar. Veriler ChaCha20 ve RSA algoritmaları kullanılarak şifrelenir.
Maze çalışırken, yedekleme sunucusu, etki alanı denetleyicisi, bağımsız sunucu vb. gibi ne tür bir aygıta bulaştığını bulmaya çalışır. Bu bilgiyi fidye notunda kullanır ve kurbanları, bilgisayar korsanlarının ağları hakkında her şeyi bildiğini düşünmeleri için panikler.
Bu noktada Maze, virüslü makinelere bir fidye yazılımı talebi göndererek kendini tanıtıyor. Bu aynı zamanda bilgisayar korsanının taleplerini ve genellikle bir tür kripto para biriminde olan ödeme yöntemlerini de açıklar.
Maze fidye yazılımı algılama ve analizden nasıl kurtulur?
Labirent fidye yazılımı, tersine mühendislik ve statik analizleri engelleyen bazı özelliklere sahiptir. Ortak güvenlik tekniklerinden kaçmasına yardımcı olacak özellikler de vardır.
Dinamik API işlevi içe aktarmaları, koşullu atlamalar kullanarak akış gizlemeyi kontrol etme, RET’yi JMP dword ptr [esp-4] ile değiştirme, CALL’ı PUSH + JMP ile değiştirme ve statik analizi engellemek için diğer birkaç tekniği kullanır.
Dinamik analizi engellemek için bu Truva Atı, araştırmacıların normalde kullandığı procmon, procexp, ida, x32dbg ve diğerleri gibi süreçleri de sonlandıracaktır.
Sophos’a göre Eylül 2020 yılında Labirent, uç nokta koruma aşmanın Ragnar Locker sanal makine tekniğini benimsemiş. Fidye yazılımı yükü, tespit edilmesini önlemek için bir Oracle VirtualBox sanal makinesinin içine gizlendi.
Labirent Fidye Yazılımı kimleri vurdu?
Labirent fidye yazılımı yüzlerce kurbanı vurdu, kurbanlar dünyanın hemen hemen her yerini kapsasa da, bu kuruluşlar esas olarak Kuzey Amerika’da bulunuyor.
Labirent fidye yazılımı kurbanları arasında Cognizant, Canon, Xerox, VT San Antonio Aerospace ve MaxLinear yer alıyor.
Forbes’e göre Maze’in arkasındaki bilgisayar korsanları, Pensacola, Florida’dan gelen verileri şifreleme sorumluluğunu üstlendi ve bir şifre çözücü için 1 milyon dolarlık fidye talep etti .
Diğer kurbanlar verilerini çete tarafından internette yayınladılar ve o sırada, fidyeyi ödemeyen kurbanlardan çaldıkları tüm verileri atmakla tehdit ettiler.
Mayıs 2021’de, ZScaler’in araştırma ekibi olan ThreatLabZ tarafından hazırlanan bir rapor , Maze fidye yazılımının 2020’de 273 saldırıdan sorumlu olduğunu buldu. 190 saldırı ile ikinci sırada yer alan Conti fidye yazılımını geride bıraktı.
Maze fidye yazılımı grubu nasıl yapılandırılmıştır?
Maze fidye yazılımı çetesi hem doğrudan (kuruluşlara bulaştı ve fidye talepleri gönderdi) hem de bağımsız bilgisayar korsanlarının kârdan pay almak için onu kullanmasına izin veren bir bağlı kuruluş anlaşması olarak çalıştı.
Haziran 2020’de Maze, bir fidye yazılımı karteli oluşturmak için LockBit ve RagnarLocker ile ortaklık kurdu. Bu gruplar, saldırılarda çalınan verileri Maze çetesi tarafından işletilen bir bloga yayınlar. Daha sonra Conti ve SunCrypt de kartele katıldı.
Analist1’e göre, karteli oluşturan çeteler Doğu Avrupa’dan geliyor ve yeraltı suç forumlarına yapılan gönderilere dayanarak ağırlıklı olarak Rusça konuşuyor. Yazılımda, yükün Rus kurbanlar üzerinde yürütülmediğinden emin olmak için kontroller var.
Maze fidye yazılımı kapandı mı?
Kasım 2020’de Maze fidye yazılımı grubu , “resmen kapatıldığı” konusunda yazım hatalarıyla dolu oldukça saçma bir açıklama yaptı.
“Hiçbir zaman ortaklarımız veya resmi haleflerimiz olmadı. Uzmanlarımız başka bir yazılımla çalışmaz. Haber sitemizde hiç kimse ve asla yeni ortaklara ev sahipliği yapamayacak. Labirent karteli hiçbir zaman var olmadı ve şimdi de yok. Sadece bu konuda yazan gazetecilerin kafalarının içinde bulunabilir [sic] ”dedi.
Ama Labirent kapanırken yerini başkaları alıyor. Aralık 2020’de bir Sophos raporuna göre , Egregor Maze kapanırken ortaya çıktı ve ayrıca kurbanlardan çalınan verileri para sızdırmak için kullanıyor ve kurbanların dosyalarını şifrelemek için aynı ChaCha ve RSA şifreleme algoritmalarını kullanıyor. Bununla birlikte, Egregor’un kodu, Sekhmet olarak bilinen ve bazılarının Maze ile neredeyse aynı kod olduğuna inandığı bir fidye yazılımı ailesinden türetilmiştir.
Bleeping Computer’a göre, birçok Maze üyesi artık Egregor’u dağıtmaya geçti.
Bir fidye yazılımı saldırısını önlemek için ne gibi önlemler alabilirsiniz?
Bireysel ve kuruluş verilerini Maze gibi fidye yazılımı saldırılarından korumanın en iyi yollarından biri kimlik avı saldırılarından kaçınmaktır. Bu, bilinmeyen göndericilerden veya açık eklerden gelen e-postalardaki bağlantılara tıklamamak anlamına gelir.
Bu e-postalar daha sonra bir kuruluş veya kolluk kuvvetleri içindeki BT ekiplerine bildirilmelidir. Kullanıcılar ayrıca pop-up’larda veya kurumsal olmayan web sitelerinde hassas bilgiler içermemelidir.
Kuruluşlar ayrıca işletim sistemini ve uygulamaları yamalı ve güncel tutmalıdır. Office uygulamalarındaki makrolar da devre dışı bırakılmalıdır. Kuruluşlar ayrıca tüm çalışanlarını siber güvenlik en iyi uygulamaları konusunda eğitmelidir .
Yazının orijinaline ulaşmak için tıklayınız.
